Shiro|AuthenticatingRealm的认证流程(简要)

于 2020-09-07 22:30:14 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a739260008/article/details/108457418
版权

AuthenticatingRealm的认证流程(简要)

推荐资源

从login()到Realm的doGetAuthenticationInfo之间发生了什么?

Shiro 身份验证

Realm类图

在这里插入图片描述

getAuthenticationInfo方法

AuthenticatingRealm的getAuthenticationInfo方法有两点功能:

  1. 通过缓存或者Realm的doGetAuthenticationInfo方法来获取AuthenticationInfo
  2. 校验AuthenticationToken与AuthenticationInfo的Credentials是否一致
    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
        if (info == null) {
            info = this.doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                this.cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
        	// 校验AuthenticationToken与AuthenticationInfo的Credentials是否一致
            this.assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

assertCredentialsMatch方法

assertCredentialsMatch方法在getAuthenticationInfo方法中被调用,用以校验AuthenticationToken与AuthenticationInfo的Credentials是否一致。

如果校验失败,则抛出相应的异常,意味着整个认证过程失败。

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = this.getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify credentials during authentication.  If you do not wish for credentials to be examined, you can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

注意:Realm的CredentialsMatcher是可以自定义的。

自定义CredentialsMatcher

如需要自定义CredentialsMatcher,只需要实现CredentialsMatcher接口,在doCredentialsMatch方法中校验info与token的Credentials是否一致即可。

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.credential.CredentialsMatcher;

public class MyCredentialsMatcher implements CredentialsMatcher {
    @Override
    public boolean doCredentialsMatch(AuthenticationToken authenticationToken, AuthenticationInfo authenticationInfo) {
        String password = (String)authenticationInfo.getCredentials();
        String arg = new String((char[])authenticationToken.getCredentials());
        return password.equals(arg);
    }
}

附:配置shrio配置文件

myMatcher=matcher.MyCredentialsMatcher
myRealm=realm.MyRealm
myRealm.credentialsMatcher=$myMatcher
securityManager.realms=$myRealm

认证过程简单示例

在本例中(单Realm且R自定义Realm继承自AuthorizingRealm),执行Subject.login()后,Shiro会层层调用至AuthenticatingRealm的getAuthenticationInfo并在其中调用自定义Realm的doGetAuthenticationInfo方法。

在自定义Realm类的doGetAuthenticationInfo方法中,我们在数据库中查询了用户的账户与密码,构造了SimpleAuthenticationInfo对象并返回。

然后,自定义Realm类的父类AuthenticatingRealm会执行assertCredentialsMatch方法进行Credentials的校验。

package realm;

import entity.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import service.UserService;
import service.UserServiceImpl;

public class MyRealm extends AuthorizingRealm {

    private UserService userService = new UserServiceImpl();

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 获得输入的用户名及密码
        String username = (String) authenticationToken.getPrincipal();
        String password = new String((char[])authenticationToken.getCredentials());
        // 从数据库中查询用户
        User user = userService.findByUsername(username);
        if(user == null)
            throw new UnknownAccountException("不存在的用户名!");
        // 返回认证信息
        return new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),getName());
    }
}
甘甘甘甘甘甘甘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义Realm 认证 密码加密 自定义realm的授权功能
qq_55682798的博客
08-08 357
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
Shiro__自定义Realm认证账号密码,doGetAuthenticationInfo相关源码解析
qq_37432174的博客
07-16 1427
自定义MyRealm继承AuthorizingRealm 重写doGetAuthorizationInfo和doGetAuthenticationInfo两个方法, doGetAuthorizationInfo用于授权,doGetAuthenticationInfo用于认证 package com.test; import org.apache.shiro.authc.Authenticatio...
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
AuthenticatingRealm设置CredentialsMatcher
ITWANGBOIT的博客
10-11 1822
1:通过查看AuthenticatingRealm的构造方法,看到第一,二个构造函数中没有传入CredentialsMatcher,则AuthenticatingRealm自己创建了SimpleCredentialsMatcher。即默认情况下AuthenticatingRealm的CredentialsMatcher 是SimpleCredentialsMatcher。 2:无论开发者调用...
自学-为什么自定义的Realm认证中 直接继承AuthenticatingRealm呢?-06
女神的高冷范
12-17 2328
先我们先来对上一节中的遗留的问题进行简单的解答下: Realm 的继承关系: Realm是他们的父类,继承AuthenticatingRealm其也间接继承了 CachingRealm(带有缓存实现)。 通过源码分析,可以查看认证只是调用了doGetAuthenticationInfo 接下里的一节将探讨加密算法及怎么实现。
01-shiro认证流程.md
07-31
自己看的小课件顶
shiro认证 类图关系简化版
04-13
shiro认证 类图关系简化版
shiro认证及授权demo
10-28
通过这个Demo,你可以了解Shiro的基本工作流程,并学会如何将其应用到实际项目中。博客文章`https://blog.csdn.net/fancheng614/article/details/83477345`可能提供了更详细的步骤和代码示例,对于深入理解Shiro的...
Shiro登录授权认证功能
09-26
在这个项目中,我们主要关注的是“Shiro登录授权认证功能”。 **身份验证(Authentication)** 身份验证是确认用户身份的过程,通常涉及用户名和密码的验证。在Shiro中,可以通过实现自定义的`Realm`类来对接自己的...
shiro jwt登录认证
05-20
该项目使用了springboot、mybaits-plus、jwt、shiro、redis。mybaits-plus基本没用,只做了一次数据库查询,redis暂时不使用,登录验证成功后再追加redis操作。
shiro讲解之 多RealmAuthentication
Dusty丶one的博客
10-28 2082
shiro讲解之 多Realm本章节将详细讲解 ShiroRealm 认证以、多 Realm 配置以及多 Realm 认证策略。实例首先我们以我们之前搭建的Spring + SpringMVC + Shiro 的基本框架为例子,然后进行多 Realm 配置。 多Realm 的实现Realms 代码 为了直观体提现多Realm 认证策略,我们再次设定 ShiroRealm 中的认证能够顺利通
shiro笔记-AuthenticatingRealmAuthorizingRealm关系
weixin_33743880的博客
04-07 613
AuthenticatingRealm-------->用于认证方法的Realm AuthorizingRealm--------->用于授权和认证realm一般使用这个   AuthorizingRealm继承于AuthenticatingRealm但是没有实现父类的doGetAuthenticationInfo方法...
Shiro笔记(四)----身份验证之Realm
fendo
07-15 4677
123
Shiro介绍(四):定义自己的安全域Realm
SHARE & TOP
12-07 5280
在前面的介绍中,我提到过真正的安全逻辑其实都在Pluggable Realms里面,那么今天我们就来讨论一下这个安全域Realm
第六章 Realm及相关对象(三) AuthenticationInfo
yifanSJ的博客
08-23 8128
AuthenticationInfo有两个作用: 1)如果RealmAuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给Security
Shiro Realm 自动注入失败
两点水
06-05 1785
先上问题@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken= (U...
Shiro密码比对、CrendentialsMatcher组件作用
Hern(宋兆恒)
09-04 747
认证需要的Realm类,该Realm类继承了AuthenticatingRealm父类,实现了doGetAuthenticationInfo方法,在doGetAuthenticationInfo方法中获取用户的账号密码,在做完一些校验后,传递给了SimpleAuthenticationInfo,并返回出去: package com.test.shiro.realms; import java....
springboot集成shiro认证出现报错(Submitted credentials for token...)
热门推荐
阿潘是个程序猿的博客
06-14 4万+
[ERROR:]2015-10-14 08:46:19,226 [Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - 1300, rememberMe=false] did not match the expected credentials.] org.apache.shiro.auth...
Shiro认证流程:权限分配与授权详解
本文将深入解析Shiro认证实现机制,尤其是权限分配与授权的核心组件和流程。 首先,Shiro的核心组件包括Subject、SecurityManager和Realms。Subject是Shiro中的一个重要概念,代表了“当前操作用户”,它是所有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值